![Page 1: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/1.jpg)
Les FirewallsLes Firewalls
Patrick PROY
Sébastien MATHON
DESS Réseaux - promotion 1999/2000
![Page 2: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/2.jpg)
Plan de la présentationPlan de la présentation
Besoins
Stratégies
Qu’est-ce qu’un firewall ?
Marché
Techniques de filtrage
![Page 3: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/3.jpg)
Besoins - Risques de l’InternetBesoins - Risques de l’Internet
le réseau interneles serveurs Internetla transmission de donnéesla disponibilité
Menaces contre
CERT: Computer Emergency Response Team
![Page 4: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/4.jpg)
Besoins - ProtectionBesoins - Protection
Confiance entre réseaux ?Points de contrôle
– au sein de l ’entreprise– connexion Internet
![Page 5: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/5.jpg)
Besoins - LimitationsBesoins - Limitations
« Social Engineering »Défense de périmètre
Un firewall n ’est pas suffisant !
![Page 6: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/6.jpg)
Qu’est-ce qu’un Firewall ?Qu’est-ce qu’un Firewall ?
Ensemble de composants ou système placé entre deux réseaux et possédant les propriétés suivantes:– Tout trafic de l'intérieur vers l'extérieur, et
vice-versa, doit passer par lui;
– Seul le trafic autorisé, défini par la politique de sécurité, est autorisé à passer à travers lui;
– Le système lui-même est hautement résistant à toute pénétration.
![Page 7: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/7.jpg)
Techniques Firewall : le filtreTechniques Firewall : le filtre
Examen des datagrammes– d’après des règles précises portant
sur• l ’@ source• l ’@ destination• le protocole utilisé
Niveau 3 de l’ OSI
![Page 8: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/8.jpg)
Techniques Firewall : le filtre (2)Techniques Firewall : le filtre (2)
Avantages
– Le gain de temps en terme de mise en place du routeur
– Le coût généralement faible d ’un routeur filtrant
– Les performances de ces routeurs sont généralement bonnes
– Les routeurs filtrants sont transparents aux utilisateurs et aux applications
![Page 9: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/9.jpg)
Techniques Firewall : le filtre (3)Techniques Firewall : le filtre (3)
Inconvénients
– L'élaboration de règles de filtrage peut être une opération pénible.
– Le routeur filtre de paquets ne protège pas contre les applications du type Cheval de Troie.
– Choix parfois crucial entre performance et sécurité.
– Il n ’y a pas d’analyse des services.
![Page 10: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/10.jpg)
Techniques Firewall : la passerelleTechniques Firewall : la passerelle
Système relayant des services entre 2 réseaux (connexions TCP)
machine.ici.dom gateway.ici.dom x.ailleurs.com
1891
20457411
1525
![Page 11: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/11.jpg)
Techniques Firewall : la PNATechniques Firewall : la PNA
Service logiciel (service proxy )
1
1. Demande du service TELNET
2
2. Vérification de l ’identité via une machine interne
proxy
machine sur Internet
3
3. Connexion TELNET créée
passerelle de niveau applicationpasserelle de niveau application
![Page 12: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/12.jpg)
Techniques Firewall : la PNA (2)Techniques Firewall : la PNA (2)
Le Bastion Host : armé et protégémise en œuvre
– version sécurisée de l ’OS. – un ensemble limité de services proxy. – un système d'authentification de haut niveau.– accès à un sous-ensemble des commandes standards de
l'application.– accès à un système hôte spécifique. – programmes de petite taille
• détection des bugs et des faiblesses• mail UNIX: 20000 lignes de code / proxy:1000
passerelle de niveau applicationpasserelle de niveau application
![Page 13: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/13.jpg)
Techniques Firewall : la PNA(3)Techniques Firewall : la PNA(3)
Avantages– contrôle complet sur chaque service. – authentification extrêmement poussées. – audit des détails des connexions.
– règles de filtrage faciles à configurer et à tester. Inconvénients
– augmentation considérable du coût du firewall. – réduction de la qualité du service offert aux utilisateurs.– diminution de la transparence du système. – installation de logiciels spécialisés sur chaque système
accédant à des services proxy.
passerelle de niveau applicationpasserelle de niveau application
![Page 14: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/14.jpg)
Techniques Firewall : la PNCTechniques Firewall : la PNC
Relais de connexions TCP agit comme un filLes connexions semblent être
originaires du Firewallconnexions sortantesutilisation facile d’emploi
passerelle de niveau circuitpasserelle de niveau circuit
![Page 15: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/15.jpg)
Techniques Firewall : V.P.N.Techniques Firewall : V.P.N.
Firewall à firewall Souvent des protocoles propriétairesCryptage et décryptage
Virtual Private NetworkVirtual Private Network
![Page 16: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/16.jpg)
Stratégie : DécisionStratégie : Décision
Ce qui n'est pas explicitement permis est interdit;
Ce qui n'est pas explicitement interdit est permis.
![Page 17: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/17.jpg)
Stratégie : CraintesStratégie : Craintes
Failles de sécurité :– Destruction
– Zones de risques : centraliser sur le firewall
![Page 18: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/18.jpg)
Stratégie : Architectures FirewallStratégie : Architectures Firewall
simple routeur filtre entre Internet et le réseau privé
règles de filtrage simples– accès facile à Internet (de l ’intérieur)
– accès limité au réseau (de l ’extérieur)
Filtrage de paquets par routeur
![Page 19: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/19.jpg)
Stratégie : Architectures FirewallStratégie : Architectures Firewall
Single-Homed Bastion Host
Screened Host Firewall
Trafic bloqué
Trafic permis
InternetRéseauprivé
hôtes
Bastion
![Page 20: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/20.jpg)
Stratégie : Architectures FirewallStratégie : Architectures Firewall
Dual-Homed Bastion Host
Screened Host Firewall
Internet Réseau privé
Bastion
![Page 21: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/21.jpg)
Stratégie : Architectures FirewallStratégie : Architectures Firewall
La Zone Démilitarisée (DMZ)
InternetRéseauprivé
Web
FTP
Bastion
filtre filtre
![Page 22: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/22.jpg)
Stratégie : D.M.Z.Stratégie : D.M.Z.
Avantages– 3 systèmes de protection à franchir. – Seule la D.M.Z. est visible de l ’extérieure. – Translations d ’adresses.
Inconvénients– Coûteuse. – Compliquée.– Manque de transparence.
Demilitarized ZoneDemilitarized Zone
![Page 23: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/23.jpg)
Firewall : Matériel ou logicielFirewall : Matériel ou logiciel
Matériel– En général niveau 3 ou 4. – Coûteux mais rapide et simple à administrer.– Manque de transparence, bugs.
Logiciel– En général bastion host. – Plus d ’administration mais plus de transparence.– Mise à jour simple.
![Page 24: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/24.jpg)
Les acteurs du marchéLes acteurs du marché
Axent Check Point Cyberguard Fore Lucent
Netscreen Network Associates Novell Secure Computing
![Page 25: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/25.jpg)
PerformancesPerformances
![Page 26: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/26.jpg)
RéférencesRéférences
http://www.icsa.netMarcus J. Ranum,
« Thinking about Firewalls »
![Page 27: Les Firewalls Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000](https://reader035.vdocuments.fr/reader035/viewer/2022062404/551d9d84497959293b8bf214/html5/thumbnails/27.jpg)
Bon stage à toutes et à tous !!!